セキュリティ、コンプライアンス、プライバシーのベストプラクティス

[アーティクル]
03/04/2024

セキュリティのベストプラクティスは、Databricks の Security and Trust Center の「Security Features (セキュリティ機能)」に記載されています。

詳細については、次の PDF を参照してください: 「Azure Databricks Security Best Practices and Threat Model (Azure Databricks のセキュリティのベストプラクティスと脅威モデル)」。

以下のセクションでは、この柱の原則に沿って PDF に記載されているベストプラクティスについて示します。

1.最小の特権を使って ID とアクセスを管理する

シングルサインオンを使って認証する。
多要素認証を使用する。
ローカルパスワードを無効にする。
複雑なローカルパスワードを設定する。
管理者アカウントと通常のユーザーアカウントを分離する。
トークン管理を使う。
ユーザーとグループの SCIM 同期。
クラスターの作成権限を制限する。
セキュリティで保護された方法でシークレットを保存して使う。
クロスアカウント IAM ロールの構成。
顧客が承認したワークスペースログイン。
ユーザーの分離をサポートするクラスターを使う。
サービスプリンシパルを使って運用ジョブを実行する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

2.転送中および保存中のデータを暗号化する

運用データを DBFS に格納しない。
クラウドストレージへのアクセスをセキュリティで保護する。
管理コンソール内でデータ流出設定を使う。
バケットのバージョン管理を使う。
ストレージを暗号化し、アクセスを制限する。
管理サービス用にカスタマーマネージドキーを追加する。
ワークスペースストレージ用にカスタマーマネージドキーを追加する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

3.ネットワークをセキュリティで保護し、エンドポイントを特定して保護する

カスタマーマネージド VPC または VNet を使ってデプロイする。
IP アクセスリストを使う。
ネットワーク流出保護を実装する。
VPC サービスコントロールを適用する。
VPC エンドポイントポリシーを使う。
PrivateLink を構成する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

4.共同責任モデルを確認する

共有責任モデルを確認する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

5.コンプライアンスとデータプライバシーの要件を満たす

Databricks コンプライアンス標準を確認する。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

6.システムのセキュリティを監視する

Databricks 監査ログの配信を使う。
使用状況を監視し、チャージバックを有効にするようにタグ付けを構成する。
Overwatch を使ってワークスペースを監視する。
プロビジョニングアクティビティを監視する。
セキュリティ強化監視またはコンプライアンスセキュリティプロファイルを使う。

詳細については、この記事の冒頭に記載されている PDF を参照してください。

汎用的なコントロール

サービスクォータ。
ライブラリの制御。
機密性の高いワークロードを異なるワークスペースに分離する。
CI/CD プロセスを使って、ハードコーディングされたシークレットのコードをスキャンする。

詳細については、この記事の冒頭に記載されている PDF を参照してください。